Bu derste; kurum içinde meydana gelen bir olayın nasıl ele alındığını ve soruşturma sürecinin nasıl yürütülmesi gerektiğini konuşacağız. Bunu yaparken zaman zaman LetsDefend'den örnekler vereceğiz, bazen de en iyi uygulamalardan bahsedeceğiz.
Ulusal Siber Güvenlik Merkezi (NCSC), bir siber olayı, bir sistemin bütünlüğünü veya kullanılabilirliğini etkilemek için bir sistemin güvenlik politikasının ihlali ve/veya bir sisteme veya sistemlere yetkisiz erişim veya erişim girişimi olarak tanımlar; Bilgisayarın Kötüye Kullanımı Yasası uyarınca.
Bir önceki SIEM 101 eğitimimizde, SOC içerisinde verilerin nasıl toplanıp uyarılara dönüştürüldüğünden bahsetmiştik. Henüz o eğitimi tamamlamadıysanız, bağlantıya tıklayarak tamamlayıp buradan devam etmenizi öneririz. SIEM ile ilgili uyarıların toplandığı ve araştırıldığı platformlardan biri de “Olay Yönetim Sistemi”dir.
Bu eğitimin devamında, bir Olay Yönetim Sisteminin nasıl çalıştığını ve SOC analistleri olarak bu sistemlerin neden ve nasıl kullanılacağını açıklayacağız.
Olay Yönetimi Hakkında Temel Tanımlar:
Bu bölümde, olay yönetimi hakkında bilmeniz gereken temel kavramları açıklayacağız. Eğitiminiz ve günlük iş rutininiz boyunca bu kavramlarla sık sık karşılaşacağınız için bu kavramları iyice anlamanızı öneririz:
Alert:
SIEM eğitim modülünde nasıl uyarı oluşturulduğundan bahsetmiştik. Eğitime ulaşmak için linke (https://app.letsdefend.io/training/lessons/siem-101) tıklayabilirsiniz. Kısaca hatırlamak gerekirse, SIEM'de veri toplama ve işleme (ayrıştırma, zenginleştirme vb.) sonucunda aşağıdaki resimde görüldüğü gibi bir uyarı oluşturulur. Ardından oluşturulan alarmları Olay Yönetim Sistemine göndererek analiz sürecini başlatıyoruz.
Etkinlik:
Olay, bir sistem veya ağda gözlemlenebilir herhangi bir olaydır. Basitçe, olaylar, bir dosya paylaşımına bağlanan bir kullanıcı, bir Web sayfası için istek alan bir sunucu, elektronik posta (e-posta) gönderen bir kullanıcı, bir bağlantı girişimini engelleyen bir güvenlik duvarı vb.
Incident:c
Bir bilgisayar güvenlik olayının tanımı zaman içinde gelişmiştir. Geçmişte, bir bilgisayar güvenliği olayı, veri gizliliği kaybı, veri veya sistem bütünlüğünün bozulması veya kullanılabilirliğin kesintiye uğraması veya reddedildiği güvenlikle ilgili olumsuz bir olay olarak düşünülürdü.
True positive alert:
Tespit edilecek durum ile tespit edilen (tetiklenen uyarı) durum aynı ise, Gerçek Pozitif alarmdır. Örneğin, diyelim ki Covid19 pozitif olup olmadığınızı öğrenmek için PCR testi yaptırdınız ve test sonucu pozitif çıktı. Tespit etmek istediğiniz durum (Covid19 hastalığınız olup olmadığı) ile tespit edilen durum (Covid19 hastası olmak) aynı olduğu için Gerçek Pozitiftir. Bu gerçek bir pozitif uyarıdır.
SQL Injection saldırılarını tespit etmek için bir kural olduğunu ve aşağıdaki URL'ye yapılan bir istek nedeniyle bu kuralın tetiklendiğini varsayalım. Gerçek bir SQL Enjeksiyon saldırısı olduğu için uyarı gerçekten de "Gerçek Olumlu".
https://app.letsdefend.io/casemanagement/casedetail/115/src=' OR 1=1
O zamandan beri pek çok yeni türde bilgisayar güvenliği olayı ortaya çıktı ve bu, genişletilmiş bir "olay" tanımını gerektirdi. Genel olarak, bir olay, bilgisayar güvenlik ilkelerinin, kabul edilebilir kullanım ilkelerinin veya standart güvenlik uygulamalarının ihlali veya yakın ihlali tehdididir.
False positive alert:
Kısacası yanlış alarmdır. Örneğin evinizde güvenlik kamerası var ve kamera sizi kedinizin hareketlerinden dolayı uyarıyorsa yanlış pozitif alarmdır.
Aşağıdaki URL örneğine bakarsak bu URL içerisinde SQL parametresi "Union" anahtar kelimesini görüyoruz. Bu URL için bir SQL enjeksiyon uyarısı oluşursa, yanlış bir pozitif uyarı olacaktır, çünkü burada bir spor takımından bahsetmek için “Union” anahtar kelimesi bir SQL enjeksiyon saldırısı için değil.
Olay Yönetim Sistemleri (EYS):
Olay Yönetim Sistemleri, SOC ekiplerinin soruşturma sürecini yürüttüğü ve bir olay meydana geldiğinde alınan önlemleri kaydettiği yerdir. Bu nedenle SOC analistleri zamanlarının önemli bir bölümünü bu sistemlerin arayüzünde geçirirler.
Olay Yönetim Sistemleri (EYS) Nasıl Çalışır?
Olay Yönetimi platformunda kayıt açılabilmesi için öncelikle burada bir veri girişinin sağlanması gerekmektedir. Bu veriler doğrudan SIEM'den veya diğer güvenlik ürünlerinden gelebilir. Veri akışı sağlandıktan sonra Olay Yönetim Sistemi üzerinde bir bilet/vaka oluşturulur.
“Tehdit İstihbaratı”, “SOAR” ve benzeri platformlar ile entegrasyonlar kurulursa vaka içerisindeki veriler zenginleştirilir ve bu da hızlı aksiyon alınmasına yardımcı olur. Örneğin, olayda şüpheli bir "letsdefend.io" alanı olduğunu varsayalım. IMS ile tehdit istihbarat platformu arasında bir entegrasyon varsa, “letsdefend.io” alan adresinin itibarı otomatik olarak sorgulanır ve SOC analistine sunulur. Tehdit istihbaratı platform entegrasyonu yoksa Virustotal gibi açık kaynaklı platformlardan manuel sorgulama yapılması gerekir.
Ayrıca SOAR ürünleri diğer güvenlik ürünleri ile entegrasyon da sunmaktadır. Birçok SOAR ürünü, Firewall, IPS, WAF, Proxy, Email Gateway, Email Security ürünleri gibi ürünlerle entegre olabilir. “letsdefend.io” alan adının zararlı olduğundan eminsek ve bu adrese kurum içinden erişimi engellemek istiyorsak, SOAR yardımıyla bu etki alanını bir proxy üzerinden hızlı bir şekilde engelleyebiliriz.
LetsDefend İzleme sayfasındaki "Soruşturma Kanalı"nı düşünün. Buradaki "Case Management" üzerinde yeni bir "Case" oluşturulduğunda "Case Case" butonuna tıklıyoruz. Yani İYS üzerinde yeni bir kayıt oluşturulur.
SIEM'den gelen uyarı detayları Olay Yönetim Sistemi'ne iletilir ve Olay Yönetim Sistemi, Tehdit İstihbaratı ve SOAR platformları ile koordineli çalışarak tüm verileri işler ve yeni bir vaka/bilet oluşturulur. IMS üzerinde Threat Intelligence ve SOAR entegrasyonları sayesinde veri zenginleştirme ve çeşitli aksiyonlar sağlanmaktadır. Son olarak işlemler tamamlandığında uyarı kapatılır.
Daha önce de belirttiğimiz gibi Olay Yönetim Sistemi (EYS), SOC Analisti olarak zamanınızın çoğunu geçireceğiniz platformlardan biridir. IMS platformlarını etkin bir şekilde kullanırsanız, inceleme sürenizi önemli ölçüde kısaltabilir ve tekrarlayan görevlerinizden kurtulabilirsiniz. Bu nedenle, IMS platformlarındaki bilgi ve becerilerinizi her zaman bir üst seviyeye taşımalısınız.
Olay yönetim sisteminde oluşturulan talep/vaka/kayıtların anlamlı bir başlık taşıması, birleştirilmiş adlandırma kurallarına sahip olması, geriye dönük sorgulamalarda ilgili kaydın hızlı bir şekilde bulunmasına veya bir araştırma yapıldığında istatistiklerin kolayca çıkarılmasına yardımcı olacağından önemlidir. Bu ve benzeri nedenlerle sadece başlığa bakarak bilete/vaka hakkında fikir sahibi olmak gerekir.
LetsDefend "Case Management"ta isimlendirme yöntemi aşağıdaki gibidir.
EventID: {Alert ID Number} - [{Alert Name}]
Örneğin LetsDefend Monitoring sayfasında bir uyarı için “Create Case” butonuna tıkladığınızda “Case Management” üzerinden bir ticket açılır ve sistem size otomatik olarak bir playbook atar. Böylece oradaki talimatları takip ederek doğru adımlarla uyarıyı araştırabilirsiniz.
Playbook Neden Önemli?
SOC analistleri olarak, uyarıları işlerken tam olarak ne yapacağımızı her zaman bilemeyebiliriz. Playbook'taki talimatlar sayesinde soruşturma sürecini adım adım gerçekleştirebiliyoruz. Başucu kitapları, özellikle SOC alanında kariyerlerine yeni başlayan analistler için rehberlik sağlayacaktır.
Playbookların analistlere rehberlik ettiğinden bahsetmiştik. Bunun dışında ekibin belirli standartlarda analiz yapmasını sağlar. Örneğin, kötü amaçlı yazılımları analiz ettikten sonra C2 sitelerine/IP adreslerine erişim olup olmadığını kontrol etmek hayati önem taşır. Bununla birlikte, bazı analistler her zaman C2 erişimini kontrol etmeyebilirken, diğerleri bunu yapıyor olabilir. Bu, ekibin çalışma standartlarında tutarsızlığa yol açar. Ekip içinde aynı düzeyde analiz standartlarını sağlamak için çalışma kitaplarının oluşturulması ve tüm analistler tarafından takip edilmesi önemlidir.
Aşağıdaki örnekte, Microsoft'un yayınladığı phishing playbook akışını görebilirsiniz.
SOC Analisti Bir Uyarı Oluştuğunda Ne Yapar?
Önceki bölümlerde, bir uyarının nasıl oluştuğundan bahsetmiştik. Bir SOC Analisti olarak asıl göreviniz kuruluşunuza yönelik tehditleri tespit etmektir. Bu görevi genellikle SIEM veya farklı bir ortamda oluşturulan uyarıları analiz ederek yaparsınız.
Meydana gelen uyarılar her zaman gerçek bir olayı göstermez. Bazen yanlış pozitif uyarılarla karşılaşırsınız. Aslında, zamanınızın çoğunu yanlış pozitiflerle uğraşarak geçireceksiniz, bu yüzden SIEM kurallarını oluşturan ekiple sürekli iletişim halinde olmanız ve onlara her zaman geri bildirimde bulunmanız gerekir. Bir SOC Analisti olarak, bir uyarının yanlış pozitif olup olmadığını anlamak için ayrıntıları incelemeniz gerekir. Farklı uyarı türleri (web, kötü amaçlı yazılım, uç nokta vb.) olabileceğinden standart bir analiz yöntemi yoktur ve her türün kendine özgü ayrıntıları vardır. Bu nedenle olay yönetim sistemlerinde oyun kitaplarını takip etmek önemlidir.
Simülasyon ortamında hangi uyarıyı başlattığınız önemli olmasa da, gerçek hayatta yüksek önem değerlerine sahip uyarılara öncelik vermeniz gerekir.
“Take Ownership” butonuna tıklayarak seçmiş olduğunuz uyarı üzerinde çalışmaya başlayabilirsiniz. Çalışma standardının mantığı 10 aktif uyarı var ve 63 EventID numarası ile uyarı üzerinde çalışıyorsunuz. Diğer ekip üyeleri bu uyarı üzerinde çalıştığınızı bildikleri için kalan 9 uyarıdan birini seçip çalışmaya devam edeceklerdir. . Böylece ekip çalışması mükerrer işlerin önüne geçilmiş olur.
Not: LetsDefend üzerinde bir takımın üyesi olarak değil, bireysel olarak çalışıyorsunuz.
Uyarının sahipliğini aldıktan sonra uyarının "İnceleme Kanalına" iletildiğini göreceksiniz. Bu kanalda aktif olarak üzerinde çalışılan uyarılar var. Ayrıntılar için uyarıya tıklayın. Amacımız, bu uyarının gerçekten zararlı bir durum içerip içermediğini belirlemektir. Başka bir deyişle, yanlış pozitif mi yoksa gerçek pozitif mi olduğunu belirlememiz gerekiyor. Bunun için “Case Management/Olay Yönetimi” üzerinde “Create Case” butonuna tıklayıp playbook adımlarını takip ederek kayıt oluşturabiliriz.
Playbook size izlemeniz gereken adımları sunar. Uyarıyı kapattıktan sonra, bazı sorular aracılığıyla analiz sonuçlarınızı kontrol etmenize yardımcı olur.
Playbook adımlarını tamamladıktan sonra tekrar İzleme sayfasına yönlendirileceksiniz. Artık analizi tamamladığınıza göre, artık son bir karar vermeniz gerekiyor. Bu uyarı yanlış pozitif mi yoksa gerçek pozitif mi?
Gerekli seçimleri ve açıklamaları yaptıktan sonra uyarıyı kapatabilir ve analiz sonuçlarınızı görüntüleyebilirsiniz.
Not: Gerçek hayatta analiz sonuçlarınızı her zaman doğrulayamayabilirsiniz. Bazen kıdemli bir analist ile çalışıp yaptığınız adımları anlatarak yardım alabilirsiniz ancak bu sürdürülebilir bir yöntem değil. Bu nedenle LetsDefend'de kapatmış olduğunuz uyarıların analiz sonuçlarını incelemek ve yeni yöntemler öğrenmek için bir fırsattır.
Alert kapatıldıktan sonra "Closed Alertler" kanalına yönlendirilecek ve cevaplarınızı buradan kontrol edebileceksiniz.
Ulusal Siber Güvenlik Merkezi (NCSC), bir siber olayı, bir sistemin bütünlüğünü veya kullanılabilirliğini etkilemek için bir sistemin güvenlik politikasının ihlali ve/veya bir sisteme veya sistemlere yetkisiz erişim veya erişim girişimi olarak tanımlar; Bilgisayarın Kötüye Kullanımı Yasası uyarınca.
Bir önceki SIEM 101 eğitimimizde, SOC içerisinde verilerin nasıl toplanıp uyarılara dönüştürüldüğünden bahsetmiştik. Henüz o eğitimi tamamlamadıysanız, bağlantıya tıklayarak tamamlayıp buradan devam etmenizi öneririz. SIEM ile ilgili uyarıların toplandığı ve araştırıldığı platformlardan biri de “Olay Yönetim Sistemi”dir.
Bu eğitimin devamında, bir Olay Yönetim Sisteminin nasıl çalıştığını ve SOC analistleri olarak bu sistemlerin neden ve nasıl kullanılacağını açıklayacağız.
Olay Yönetimi Hakkında Temel Tanımlar:
Bu bölümde, olay yönetimi hakkında bilmeniz gereken temel kavramları açıklayacağız. Eğitiminiz ve günlük iş rutininiz boyunca bu kavramlarla sık sık karşılaşacağınız için bu kavramları iyice anlamanızı öneririz:
- Alert: Uyarı
- Event: Etkinlik
- Incident: Olay
- True Positive: Doğru pozitif
- False Positive: Yanlış pozitif
Alert:
SIEM eğitim modülünde nasıl uyarı oluşturulduğundan bahsetmiştik. Eğitime ulaşmak için linke (https://app.letsdefend.io/training/lessons/siem-101) tıklayabilirsiniz. Kısaca hatırlamak gerekirse, SIEM'de veri toplama ve işleme (ayrıştırma, zenginleştirme vb.) sonucunda aşağıdaki resimde görüldüğü gibi bir uyarı oluşturulur. Ardından oluşturulan alarmları Olay Yönetim Sistemine göndererek analiz sürecini başlatıyoruz.
Etkinlik:
Olay, bir sistem veya ağda gözlemlenebilir herhangi bir olaydır. Basitçe, olaylar, bir dosya paylaşımına bağlanan bir kullanıcı, bir Web sayfası için istek alan bir sunucu, elektronik posta (e-posta) gönderen bir kullanıcı, bir bağlantı girişimini engelleyen bir güvenlik duvarı vb.
Incident:c
Bir bilgisayar güvenlik olayının tanımı zaman içinde gelişmiştir. Geçmişte, bir bilgisayar güvenliği olayı, veri gizliliği kaybı, veri veya sistem bütünlüğünün bozulması veya kullanılabilirliğin kesintiye uğraması veya reddedildiği güvenlikle ilgili olumsuz bir olay olarak düşünülürdü.
True positive alert:
Tespit edilecek durum ile tespit edilen (tetiklenen uyarı) durum aynı ise, Gerçek Pozitif alarmdır. Örneğin, diyelim ki Covid19 pozitif olup olmadığınızı öğrenmek için PCR testi yaptırdınız ve test sonucu pozitif çıktı. Tespit etmek istediğiniz durum (Covid19 hastalığınız olup olmadığı) ile tespit edilen durum (Covid19 hastası olmak) aynı olduğu için Gerçek Pozitiftir. Bu gerçek bir pozitif uyarıdır.
SQL Injection saldırılarını tespit etmek için bir kural olduğunu ve aşağıdaki URL'ye yapılan bir istek nedeniyle bu kuralın tetiklendiğini varsayalım. Gerçek bir SQL Enjeksiyon saldırısı olduğu için uyarı gerçekten de "Gerçek Olumlu".
https://app.letsdefend.io/casemanagement/casedetail/115/src=' OR 1=1
O zamandan beri pek çok yeni türde bilgisayar güvenliği olayı ortaya çıktı ve bu, genişletilmiş bir "olay" tanımını gerektirdi. Genel olarak, bir olay, bilgisayar güvenlik ilkelerinin, kabul edilebilir kullanım ilkelerinin veya standart güvenlik uygulamalarının ihlali veya yakın ihlali tehdididir.
False positive alert:
Kısacası yanlış alarmdır. Örneğin evinizde güvenlik kamerası var ve kamera sizi kedinizin hareketlerinden dolayı uyarıyorsa yanlış pozitif alarmdır.
Aşağıdaki URL örneğine bakarsak bu URL içerisinde SQL parametresi "Union" anahtar kelimesini görüyoruz. Bu URL için bir SQL enjeksiyon uyarısı oluşursa, yanlış bir pozitif uyarı olacaktır, çünkü burada bir spor takımından bahsetmek için “Union” anahtar kelimesi bir SQL enjeksiyon saldırısı için değil.
Olay Yönetim Sistemleri (EYS):
Olay Yönetim Sistemleri, SOC ekiplerinin soruşturma sürecini yürüttüğü ve bir olay meydana geldiğinde alınan önlemleri kaydettiği yerdir. Bu nedenle SOC analistleri zamanlarının önemli bir bölümünü bu sistemlerin arayüzünde geçirirler.
Olay Yönetim Sistemleri (EYS) Nasıl Çalışır?
Olay Yönetimi platformunda kayıt açılabilmesi için öncelikle burada bir veri girişinin sağlanması gerekmektedir. Bu veriler doğrudan SIEM'den veya diğer güvenlik ürünlerinden gelebilir. Veri akışı sağlandıktan sonra Olay Yönetim Sistemi üzerinde bir bilet/vaka oluşturulur.
“Tehdit İstihbaratı”, “SOAR” ve benzeri platformlar ile entegrasyonlar kurulursa vaka içerisindeki veriler zenginleştirilir ve bu da hızlı aksiyon alınmasına yardımcı olur. Örneğin, olayda şüpheli bir "letsdefend.io" alanı olduğunu varsayalım. IMS ile tehdit istihbarat platformu arasında bir entegrasyon varsa, “letsdefend.io” alan adresinin itibarı otomatik olarak sorgulanır ve SOC analistine sunulur. Tehdit istihbaratı platform entegrasyonu yoksa Virustotal gibi açık kaynaklı platformlardan manuel sorgulama yapılması gerekir.
Ayrıca SOAR ürünleri diğer güvenlik ürünleri ile entegrasyon da sunmaktadır. Birçok SOAR ürünü, Firewall, IPS, WAF, Proxy, Email Gateway, Email Security ürünleri gibi ürünlerle entegre olabilir. “letsdefend.io” alan adının zararlı olduğundan eminsek ve bu adrese kurum içinden erişimi engellemek istiyorsak, SOAR yardımıyla bu etki alanını bir proxy üzerinden hızlı bir şekilde engelleyebiliriz.
LetsDefend İzleme sayfasındaki "Soruşturma Kanalı"nı düşünün. Buradaki "Case Management" üzerinde yeni bir "Case" oluşturulduğunda "Case Case" butonuna tıklıyoruz. Yani İYS üzerinde yeni bir kayıt oluşturulur.
SIEM'den gelen uyarı detayları Olay Yönetim Sistemi'ne iletilir ve Olay Yönetim Sistemi, Tehdit İstihbaratı ve SOAR platformları ile koordineli çalışarak tüm verileri işler ve yeni bir vaka/bilet oluşturulur. IMS üzerinde Threat Intelligence ve SOAR entegrasyonları sayesinde veri zenginleştirme ve çeşitli aksiyonlar sağlanmaktadır. Son olarak işlemler tamamlandığında uyarı kapatılır.
Daha önce de belirttiğimiz gibi Olay Yönetim Sistemi (EYS), SOC Analisti olarak zamanınızın çoğunu geçireceğiniz platformlardan biridir. IMS platformlarını etkin bir şekilde kullanırsanız, inceleme sürenizi önemli ölçüde kısaltabilir ve tekrarlayan görevlerinizden kurtulabilirsiniz. Bu nedenle, IMS platformlarındaki bilgi ve becerilerinizi her zaman bir üst seviyeye taşımalısınız.
Olay yönetim sisteminde oluşturulan talep/vaka/kayıtların anlamlı bir başlık taşıması, birleştirilmiş adlandırma kurallarına sahip olması, geriye dönük sorgulamalarda ilgili kaydın hızlı bir şekilde bulunmasına veya bir araştırma yapıldığında istatistiklerin kolayca çıkarılmasına yardımcı olacağından önemlidir. Bu ve benzeri nedenlerle sadece başlığa bakarak bilete/vaka hakkında fikir sahibi olmak gerekir.
LetsDefend "Case Management"ta isimlendirme yöntemi aşağıdaki gibidir.
EventID: {Alert ID Number} - [{Alert Name}]
Playbooks:
SOC ortamında birçok farklı uyarı türü (web saldırıları, fidye yazılımı, kötü amaçlı yazılım, kimlik avı vb.) vardır. Bu uyarıları inceleme yöntemleri ve yaklaşımları birbirinden farklıdır. SIEM veya farklı bir güvenlik aracı üzerinde oluşturulan uyarıların etkin ve tutarlı analizi için hazırlanan iş akışlarına playbook denir.Örneğin LetsDefend Monitoring sayfasında bir uyarı için “Create Case” butonuna tıkladığınızda “Case Management” üzerinden bir ticket açılır ve sistem size otomatik olarak bir playbook atar. Böylece oradaki talimatları takip ederek doğru adımlarla uyarıyı araştırabilirsiniz.
Playbook Neden Önemli?
SOC analistleri olarak, uyarıları işlerken tam olarak ne yapacağımızı her zaman bilemeyebiliriz. Playbook'taki talimatlar sayesinde soruşturma sürecini adım adım gerçekleştirebiliyoruz. Başucu kitapları, özellikle SOC alanında kariyerlerine yeni başlayan analistler için rehberlik sağlayacaktır.
Playbookların analistlere rehberlik ettiğinden bahsetmiştik. Bunun dışında ekibin belirli standartlarda analiz yapmasını sağlar. Örneğin, kötü amaçlı yazılımları analiz ettikten sonra C2 sitelerine/IP adreslerine erişim olup olmadığını kontrol etmek hayati önem taşır. Bununla birlikte, bazı analistler her zaman C2 erişimini kontrol etmeyebilirken, diğerleri bunu yapıyor olabilir. Bu, ekibin çalışma standartlarında tutarsızlığa yol açar. Ekip içinde aynı düzeyde analiz standartlarını sağlamak için çalışma kitaplarının oluşturulması ve tüm analistler tarafından takip edilmesi önemlidir.
Aşağıdaki örnekte, Microsoft'un yayınladığı phishing playbook akışını görebilirsiniz.
SOC Analisti Bir Uyarı Oluştuğunda Ne Yapar?
Önceki bölümlerde, bir uyarının nasıl oluştuğundan bahsetmiştik. Bir SOC Analisti olarak asıl göreviniz kuruluşunuza yönelik tehditleri tespit etmektir. Bu görevi genellikle SIEM veya farklı bir ortamda oluşturulan uyarıları analiz ederek yaparsınız.
Meydana gelen uyarılar her zaman gerçek bir olayı göstermez. Bazen yanlış pozitif uyarılarla karşılaşırsınız. Aslında, zamanınızın çoğunu yanlış pozitiflerle uğraşarak geçireceksiniz, bu yüzden SIEM kurallarını oluşturan ekiple sürekli iletişim halinde olmanız ve onlara her zaman geri bildirimde bulunmanız gerekir. Bir SOC Analisti olarak, bir uyarının yanlış pozitif olup olmadığını anlamak için ayrıntıları incelemeniz gerekir. Farklı uyarı türleri (web, kötü amaçlı yazılım, uç nokta vb.) olabileceğinden standart bir analiz yöntemi yoktur ve her türün kendine özgü ayrıntıları vardır. Bu nedenle olay yönetim sistemlerinde oyun kitaplarını takip etmek önemlidir.
Simülasyon ortamında hangi uyarıyı başlattığınız önemli olmasa da, gerçek hayatta yüksek önem değerlerine sahip uyarılara öncelik vermeniz gerekir.
“Take Ownership” butonuna tıklayarak seçmiş olduğunuz uyarı üzerinde çalışmaya başlayabilirsiniz. Çalışma standardının mantığı 10 aktif uyarı var ve 63 EventID numarası ile uyarı üzerinde çalışıyorsunuz. Diğer ekip üyeleri bu uyarı üzerinde çalıştığınızı bildikleri için kalan 9 uyarıdan birini seçip çalışmaya devam edeceklerdir. . Böylece ekip çalışması mükerrer işlerin önüne geçilmiş olur.
Not: LetsDefend üzerinde bir takımın üyesi olarak değil, bireysel olarak çalışıyorsunuz.
Uyarının sahipliğini aldıktan sonra uyarının "İnceleme Kanalına" iletildiğini göreceksiniz. Bu kanalda aktif olarak üzerinde çalışılan uyarılar var. Ayrıntılar için uyarıya tıklayın. Amacımız, bu uyarının gerçekten zararlı bir durum içerip içermediğini belirlemektir. Başka bir deyişle, yanlış pozitif mi yoksa gerçek pozitif mi olduğunu belirlememiz gerekiyor. Bunun için “Case Management/Olay Yönetimi” üzerinde “Create Case” butonuna tıklayıp playbook adımlarını takip ederek kayıt oluşturabiliriz.
Playbook size izlemeniz gereken adımları sunar. Uyarıyı kapattıktan sonra, bazı sorular aracılığıyla analiz sonuçlarınızı kontrol etmenize yardımcı olur.
Playbook adımlarını tamamladıktan sonra tekrar İzleme sayfasına yönlendirileceksiniz. Artık analizi tamamladığınıza göre, artık son bir karar vermeniz gerekiyor. Bu uyarı yanlış pozitif mi yoksa gerçek pozitif mi?
Gerekli seçimleri ve açıklamaları yaptıktan sonra uyarıyı kapatabilir ve analiz sonuçlarınızı görüntüleyebilirsiniz.
Not: Gerçek hayatta analiz sonuçlarınızı her zaman doğrulayamayabilirsiniz. Bazen kıdemli bir analist ile çalışıp yaptığınız adımları anlatarak yardım alabilirsiniz ancak bu sürdürülebilir bir yöntem değil. Bu nedenle LetsDefend'de kapatmış olduğunuz uyarıların analiz sonuçlarını incelemek ve yeni yöntemler öğrenmek için bir fırsattır.
Alert kapatıldıktan sonra "Closed Alertler" kanalına yönlendirilecek ve cevaplarınızı buradan kontrol edebileceksiniz.
